Automatizované kybernetické útoky na vzestupu

„Naše nejnovější zpráva o globálních hrozbách jasně ukazuje, že kyberzločinci využívají umělou inteligenci a automatizaci k urychlení svých útoků v nebývalé rychlosti a rozsahu,“ uvedl Derek Manky, viceprezident pro globální výzkum hrozeb a strategii kybernetické bezpečnosti ve společnosti FortiGuard Labs. „Tradiční bezpečnostní strategie již nestačí. Organizace budou muset rychle přejít na proaktivní obrannou strategii, která kombinuje umělou inteligenci, nulovou důvěru a nepřetržité řízení hrozeb, aby si v dnešní rychle se měnící situaci hrozeb udržely náskok před útočníky.“

Je pozoruhodné, že automatizované skenování je na historickém maximu, protože útočníci se snaží včas identifikovat exponované cíle. Aby kyberzločinci využili nově objevených zranitelností, nasazují automatizované skenování v globálním měřítku. FortiGuard Labs pozoroval a zaznamenal miliardy skenů měsíčně, což odpovídá 36 000 skenům za sekundu. To naznačuje silné zaměření útočníků na mapování exponovaných služeb, jako jsou SIP a RDP, a protokoly OT/IoT, jako je Modbus TCP.

Vzestup darknetu usnadnil přístup k předpřipraveným útočným sadám. V roce 2024 se fóra kyberzločinců začala stále častěji chovat jako tržiště pro exploit kity a do Národní databáze zranitelností bylo přidáno více než 40 000 nových zranitelností, což představuje 39% nárůst oproti roku 2023.

Kromě zranitelností typu „zero-day“ kolujících na darknetu brokeři stále častěji nabízejí firemní přihlašovací údaje (20 %), vzdálený přístup RDP (19 %), administrativní konzole (13 %) a webové shelly (12 %). Zejména FortiGuard Labs zaznamenal za poslední rok 500% nárůst dostupných protokolů ze systémů napadených malwarem pro krádež přihlašovacích údajů, přičemž na těchto podzemních fórech bylo sdíleno 1,7 miliardy ukradených záznamů o přihlašovacích údajích.

Kyberzločin poháněný umělou inteligencí se rychle rozšiřuje. Aktéři v oblasti kybernetických hrozeb využívají umělou inteligenci ke zvýšení autenticity svých podvodů a k obcházení tradičních bezpečnostních kontrol, čímž se kybernetické útoky stávají efektivnějšími a obtížněji odhalitelnými. Nástroje jako FraudGPT, BlackmailerV3 a ElevenLabs zvyšují škálovatelnost, spolehlivost a efektivitu útočných kampaní a obcházejí omezení dostupných nástrojů umělé inteligence.

Cílené útoky na kritická odvětví jsou na vzestupu. Odvětví, jako je výroba, zdravotnictví a finanční služby, nadále zaznamenávají nárůst kybernetických útoků na míru, přičemž pro každé odvětví jsou plánovány a nasazovány specifické útoky.

V roce 2024 budou nejvíce cílenými odvětvími výroba (17 %), obchodní služby (11 %), stavebnictví (9 %) a maloobchod (9 %). Na tyto vertikály se zaměří státní aktéři a syndikáty ransomwaru jako služby (RaaS). Hlavní tíhu těchto útoků nesou Spojené státy (61 %), následované Spojeným královstvím (6 %) a Kanadou (5 %).

Bezpečnostní rizika cloudu a internetu věcí rostou. Prostředí cloudových výpočetních technologií je i nadále hlavním cílem, přičemž útočníci neustále zneužívají slabiny, jako jsou otevřené úložné služby, nadměrně zřizované identity a nesprávně nakonfigurované služby. V 70 % pozorovaných incidentů získali útočníci přístup prostřednictvím přihlašovacích údajů z neznámých geografických oblastí, což zdůrazňuje důležitost monitorování identit v cloudové obraně.

Přihlašovací údaje jsou platidlem kyberzločinců. V roce 2024 kyberzločinci sdíleli na podzemních fórech více než 100 miliard kompromitovaných záznamů, což představuje meziroční nárůst o 42 %, a to především díky nárůstu „mix seznamů“ obsahujících ukradená uživatelská jména, hesla a e-mailové adresy. Více než polovina příspěvků na darknetu se týkala uniklých databází, což útočníkům umožnilo automatizovat útoky s vyhazováním přihlašovacích údajů ve velkém měřítku.

Mezi nejaktivnější kyberzločinecké skupiny v tomto období patřily známé skupiny jako BestCombo, BloddyMery a ValidMail, které dále snižovaly vstupní bariéru nabídkou balíčků založených na přihlašovacích údajích, což vedlo k nárůstu převzetí účtů, finančních podvodů a korporátní špionáže.

Vzhledem k výše uvedené situaci zpráva poskytuje doporučení ohledně bezpečnostní obrany pro CISO s důrazem na řadu strategických oblastí, na které je třeba se zaměřit, jako například:

Přechod od tradiční detekce hrozeb k „kontinuálnímu řízení expozice hrozbám“ – Tento proaktivní přístup se zaměřuje na kontinuální řízení povrchu útoku, simulaci chování protivníka v reálném světě , upřednostňování nápravných opatření založených na riziku a automatizaci detekce a obranných reakcí.

Simulujte útoky z reálného světa – Provádějte simulační cvičení s protivníky, zapojte červené a fialové týmy a využijte MITRE ATT&CK k testování obrany proti hrozbám, jako je ransomware a špionážní kampaně.

Snížení plochy útoku – Nasaďte nástroje pro správu plochy útoku (ASM) k detekci odhalených aktiv, uniklých přihlašovacích údajů a zneužitelných zranitelností a zároveň průběžně monitorujte fóra darknetu a hledejte nové hrozby.

Upřednostňujte vysoce rizikové zranitelnosti – Zaměřte úsilí o nápravu zranitelností aktivně diskutovaných kyberzločineckými skupinami a využijte informace o prioritizaci na základě rizik, jako jsou EPSS a CVSS, k efektivní správě oprav.

Využijte inteligenci dark webu – Monitorujte trhy darknetu a zjistěte, zda se na nich objevují ransomwarové služby, a sledujte koordinované snahy hackerů s cílem zmírnit hrozby, jako jsou DDoS útoky a útoky s poškozením webových stránek.

Zdroj: https://doanhnghiepvn.vn/chuyen-doi-so/an-ninh-mang/cac-cuoc-tan-cong-mang-tu-dong-tang-manh/20250508031351243